Linux, BSD "csomagkezelők" támadási felületére hívja fel a figyelmet egy tanulmány

Titkosítás, biztonság, privát szféra

"A kritikus szerepüknél fogva az lenne az elvárás a csomagkezelőkkel szemben, hogy azok rendkívül biztonságosak legyenek. Megvizsgáltunk 10 népszerű, Linux és BSD rendszerekhez használható csomagkezelőt (APT, YUM, YaST, stb.) és mindegyikükben sebezhetőségeket találtunk. Az itt tárgyalt támadások lehetőséget adhatnak a támadóknak arra, hogy bármelyik file-t olvassák vagy töröljék a számítógépeden, hozzájussanak a jelszavakhoz, backdoor-t telepítsenek a rendszeredre, stb. anélkül hogy bármely kulcs vagy jelszó megtörésére lenne szükség."

A University of Arizona egy tanulmányt tett közzé a csomagkezelő rendszerek biztonsági problémáiról. A tanulmány elolvasható itt. Úgy tűnik, hogy a Linux disztribútorok is olvasták, mert a SUSE és openSUSE felhasználókat egy közleményben tájékoztatták arról, hogy nem kell aggódniuk a tanulmányban foglaltak miatt.

( phaul | 2008. 07. 17., cs – 21:21 )

Ez megint egy fabol vaskarika egyetemi project, semmi ertleme. A csomagkezeles arrol szol, hogy fajlokat tegyel fol, szedjel le, irjal at a szamitogepeden. Naes? Mas kerdes hogy megbizhato forrasbol szarmazo csomagot teszel e fol, vagy sem, ill hogy ellenorzod, hogy megbizhato e. Ha csak tuti megbizhato megbizhato csomagokat teszel fol szukul a valasztek, he meg nem, akkor vallalod a kockazatot.
==
`Have some wine,' the March Hare said in an encouraging tone.
Alice looked all round the table, but there was nothing on it but tea.

Ez a cikk nem arról szól, hogy mi van akkor, ha nem megbízhatónak minősített csomagokat teszel föl. (Elolvastad?) Arról szól, hogy ha egy csomagot aláírtak, akkor az örökre megbízható marad, így pl. teljesen megbízhatónak minősül egy régebbi debian openssl csomag. Noha egyáltalán nem biztonságos. Másrészt a csomaglista nem hitelesített, egy rosszindulatú/nem frissített mirror, vagy egy man in the middle támadó miatt azt hiheti a rendszer, hogy az a bugos openssl a legfrissebb elérhető csomag, ezért azt telepíti. És ezen lehetne javítani, a csomaglisták időbélyeges szignózásával.

( gd | 2008. 07. 17., cs – 23:05 )

openSUSE csomagok megbízhatóságával az a bajom, hogy sok community repositorynál megkérdezi a csomagkezelő, hogy a kulcsát megbízhatónak tartom-e, és nem tudom https kapcsolaton ellenőrizni, hogy jó-e a kulcs. Jó esetben fenn van valami honlapon, de az általában csak http-n érhető el, tehát megint nem tudom ellenőrizni a hitelességét. Ilyenkor, ha telepíteni akarok az adott repoból, kénytelen vagyok látatlanban elfogadni a kulcsot.

( enpassant v | 2008. 07. 18., p – 08:29 )

Ubuntu-nál pl. alapértelmezett a http elérés és nem nagyon találtam megoldást a https elérésre.

( _peter_ | 2008. 07. 18., p – 10:03 )

Nekem csomagkezelőben a Red Hat -> RPM a király ->

Még szerencse, hogy AZ NINCS fent ezen a listán !!!!

Vagy az etc. mégis azt is -> jelenti?

(APT, YUM, YaST, etc.)

trey -> mond már mi az ábra az RPM -el ????????????

--

"No trees were destroyed in the sending of this message. However,
a large number of electrons were terribly inconvenienced."

Köszi a gyors válasz -> akkor én voltam a béna -> értsd: a FAQ -t nem néztem...

Mondjuk azt nem egészen értem, hogy a fő oldalra ezt miért nem írták KI ->

Miért csak abban az "eldugott" FAQ -ba van ez benne ?

--

"No trees were destroyed in the sending of this message. However,
a large number of electrons were terribly inconvenienced."

Rossz terminológiát használ a cikk.
Az RPM egy csomagkezelő (benne is van a nevében), de nem megy ki az internetre, így nem lehet hozzá távolról kihasználható exploitot írni.
A YUM pedig - ami az RPM-et használja - egy frissítéskezelő (szintén benne van a nevében).

Azonban apt-get már csomagkezelőnek hívja magát. Ha a neveket szigorúan vesszük, akkor az apt-get és a yum nem összahasonlítható. A gyakorlatban viszont ugyanazt csinálják.

( Replaced | 2008. 07. 18., p – 15:47 )

a replay attack-ra reszben megoldas a pkgsrc audit ficsurja
a kozpont szerverrol tolt le egy listat a serult csomagokrol, aminek utana nezhet az admin. persze ez meg gyenge, de jobb, mint a semmi

--
The GNU GPL was not designed to be "open source".

( poliverzum | 2008. 07. 18., p – 18:58 )

Szóval, hogy etessem a trollokat: ez is azt igazolja, hogy a bináris disztrók tévúton járnak, s a forrásalapúak az igazán "okéságosak". Különösen természetesen a GoboLinux. Az ő csomagkezelője a fájlrendszer, ami egyelőre még asszem nem tartalmaz kiaknázható biztonsági hibát...
-------------
Regényeim:
http://adlibrum.hu/Poliverzum/
http://www.novumverlag.hu/novitaeten/8/?product_id=22&detail=1
:::A #86-os sorszámú hivatalosan bejegyzett GoboLinux felhasználó

Gobo és Fibo beszélgetnek.

Gobo: - Ma reggel majdnem áldozata lettem egy wormnak.
Fibo: - És miért csak "majdnem"? Talán a Clamav derítette ki róla, hogy ártalmas?
Gobo: - Nem, hanem a GoboLinux csodálatos fájlrendszer-hierarchiája leplezte le. A cuccos ugyanis a /Programs/SpyWare könyvtárba települt...

( (C) Viola Zoltán )
-------------
Regényeim:
http://adlibrum.hu/Poliverzum/
http://www.novumverlag.hu/novitaeten/8/?product_id=22&detail=1
:::A #86-os sorszámú hivatalosan bejegyzett GoboLinux felhasználó

Rossz helyen nézted még lehetsz fertőzött, ha nem adminként használod a gépet a

\Document and Settings\bastya_elvtars\Application Data\IAmSpywareDontDelete

könyvtár a te barátod :-)

--
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.

Felveszem a kesztyűt :)
A gobo is szedi a csomagokat. Ha valaki megpatcheli a forráskódot valami fertőző kóddal, akkor mi van? Ugyanúgy lefordítod, és használod :)
Nem hiszem, hogy mielőtt telepítesz egy csomagot, átnézed a forráskódot, és ellenőrzöd, hogy biztosan nincs benne kártékony kód.

Andi, really. Take it from me. If I tell you something, I'm usually right.

( Lightgod | 2008. 07. 20., v – 03:11 )

Hjahja... Checksumok... nem is keves... Ezert gaz amikor eppen valami DepHell van gentoon... es eppenseggel neked muszaly lenne most frissiteni... akkor mivel kijavitasz midnnetm, hyog asziggye... Hat... en szandekosan akarom es orakba telik =)
--
by lightgod